VPLIV SPREJETJA GDPR NA UPRAVLJANJE OSEBNIH PODATKOV ZAPOSLENIH

AMELA ŽRT IN TAJDA VRHOVEC, ODVETNIŠKA PISARNI CMS REICH-ROHRWIG HAINZ –PODRUŽNICA V SLOVENIJI, KI SE UKVARJA Z DELOVNIM PRAVOM IN PRAVOM VARSTVA OSEBNIH PODATKOV

Facebook
Twitter
LinkedIn

Ime zaposlenega, njegov naslov, številka transakcijskega računa, podatek o delovni dobi, ura prihoda in odhoda z delovnega mesta – to je le drobec iz množice osebnih podatkov, s katerimi dnevno upravlja vsak delodajalec. S 25. majem 2018 se na področju varstva osebnih podatkov obetajo korenite spremembe, saj se bo začela uporabljati Splošna uredba o varstvu osebnih podatkov (»GDPR«)1.

Slednja prinaša kar nekaj novosti, ki bodo vplivala na upravljanje podatkov zaposlenih, saj širi obseg pravic zaposlenih in določa nove obveznosti za delodajalce z namenom večje varnosti osebnih podatkov. Najpomembnejše med njimi predstavljamo v nadaljevanju.

Kako obdelovati osebne podatke zaposlenih?

Delodajalca, ki upravlja osebne podatke zaposlenih (upravljavec), zavezujejo osnovna načela GDPR:

- Osebne podatke delavcev je potrebno obdelovati zakonito, pošteno in na pregleden način (zakonitost, pravičnost in preglednost).

- Delodajalci lahko zbirajo osebne podatke delavcev zgolj za določene, izrecne in zakonite namene in jih ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni (omejitev namena).

- Osebni podatki morajo biti ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo (najmanjši obseg podatkov).

- Osebni podatki delavcev morajo biti točni in posodobljeni (točnost).

- Podatki morajo biti hranjeni v obliki, ki dopušča identifikacijo delavcev in se lahko hranijo le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo (omejitev shranjevanja).

- Osebni podatki naj se obdelujejo na način, ki zagotavlja njihovo ustrezno varnost pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo (celovitost in zaupnost).

Ker morajo biti delodajalci, tj. upravljalci osebnih podatkov zmožni dokazati skladnost z zgoraj naštetimi načeli, priporočamo, da se vse ukrepe in ravnanja, ki so namenjeni varstvu osebnih podatkov, na ustrezen način dokumentira.

Kdaj je dovoljeno obdelovati osebne podatke zaposlenih?

Obdelava osebnih podatkov zaposlenih je dopustna le, če ima upravljavec zanjo zakonito podlago. GDPR podlag za obdelavo ne ureja bistveno drugače, kot dosedanji Zakon o varstvu osebnih podatkov2, in sicer se osebne podatke lahko obdeluje (i) na podlagi privolitve, (ii) če je obdelava potrebna za izvajanje pogodbe, (iii) za izpolnitev zakonske obveznosti upravljalca, (iv) za zaščito življenjskih interesov posameznika ali druge fizične osebe, (v) za opravljanje nalog v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljalcu ali (vi) zaradi zakonitih interesov upravljavca ali tretje osebe.

 GDPR državam članicam omogoča, da določijo podrobnejša pravila za zagotovitev varstva pravic in svoboščin zaposlenih3. Pri nas obdelavo osebnih podatkov na delovnopravnem območju ureja Zakon o delovnih razmerjih, ki v 48. členu določa, da se osebni podatki delavcev in kandidatov lahko obdelujejo le, če je to določeno z zakonom4 ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Osebna privolitev delavca bo še naprej dopustna le izjemoma, pod pogojem, da zavrnitev soglasja nima posledic na delovno razmerje oziroma na delavčev pravni položaj5 (npr. pridobitev podatkov o družinskih članih za potrebe organizacije (službenega) izleta).

Vgrajeno in privzeto varstvo osebnih podatkov

Vgrajeno varstvo osebnih podatkov od upravljavcev zahteva, da že v najzgodnejše faze priprav na obdelavo vključijo tehnične in organizacijske ukrepe, ki zagotavljajo učinkovito izvajanje načel varstva podatkov. Primer takšnega ukrepa je šifriranje, s katerim podatki postanejo neberljivi do te mere, da jih lahko dešifrirajo in berejo samo pooblaščene osebe.

V skladu z načelom privzetega varstva osebnih podatkov morajo upravljalci obdelovati samo podatke, ki so potrebni za vsak poseben namen obdelave, in sicer tako, da zmanjšajo količino zbranih podatkov, obseg njihove obdelave, obdobje hrambe ter njihovo dostopnost.

Pravice zaposlenih v zvezi z njihovimi osebnimi podatki

Kadar pride do kršitve varstva osebnih podatkov, mora upravljavec o njej uradno obvestiti nadzorni organ brez nepotrebnega odlašanja in po možnosti najpozneje v 72 urah po seznanitvi s kršitvijo, razen če lahko dokaže, da ni verjetno, da bi kršitev varstva osebnih podatkov ogrožala pravice in svoboščine posameznikov.

Tako kot trenutno veljavni Zakon o varstvu osebnih podatkov (ZVOP-1), GDPR še naprej zagotavlja pravico do informiranosti, dostopa do osebnih podatkov, do popravka in do izbrisa osebnih podatkov (poznana tudi kot pravica do pozabe), vendar so te v primerjavi s trenutno ureditvijo bolj podrobno razdelane. Poleg tega pa GDPR razširja nabor pravic zaposlenih še na pravico do omejitve obdelave in pravico do prenosljivosti podatkov.

1. Pravica do omejitve obdelave

Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec omeji obdelavo, če nastopijo določene okoliščine opredeljene v 18. členu GDPR. Če je bila obdelava omejena, upravljavec teh osebnih podatkov delavca ne sme več obdelovati, lahko jih le še shranjuje.

2. Pravica do prenosljivosti podatkov

Pravica do prenosljivosti podatkov je pravica posameznika, na katerega se nanašajo osebni podatki, da prejme svoje osebne podatke, ki jih je posredoval upravljalcu, v strukturirani, splošno uporabljani in strojno berljivi obliki (npr. prenos podatkov na USB-ključ) in da te podatke posreduje drugemu upravljalcu. Uveljavi se le takrat, kadar se obdelava izvaja z avtomatiziranimi sredstvi (dokumentacija v fizični obliki s tem ni zajeta), pri čemer le-ta lahko temelji na privolitvi ali je potrebna za izvajanje pogodbe.

Ocena učinka v zvezi z varstvom osebnih podatkov

Ocena učinkov v zvezi z varstvom osebnih podatkov (DPIA) predstavlja orodje za identifikacijo, analizo in zmanjševanje tveganj glede nezakonitih ravnanj z osebnimi podatki, do katerih lahko pride pri določenem projektu, sistemu ali uporabi tehnologije7. GDPR ocene učinka v zvezi z varstvom osebnih podatkov formalno sicer ne opredeljuje, določa pa njen minimalni obseg8.

1. Kdaj izvesti oceno učinka v zvezi z varstvom osebnih podatkov?

Izvedba DPIA ni obvezna za vsa dejanja obdelave osebnih podatkov delavcev, vendar jo mora delodajalec izvesti le takrat, kadar obstaja verjetnost, da bi lahko obdelava povzročila veliko tveganje za pravice in svoboščine zaposlenih (npr. pravico do varstva podatkov in zasebnosti, svoboda govora, misli, gibanja, prepoved diskriminacije, pravica do svobode, vesti in vere)9.

V skladu z GDPR je DPIA potrebno izvesti v naslednjih primerih:

sistematičnega in obsežnega vrednotenja osebnih vidikov, ki temelji na avtomatizirani obdelavi (vključno z oblikovanjem profilov) in predstavlja osnovo za odločitve, ki imajo pravne učinke v zvezi s posameznikom ali nanj na podoben način znatno vplivajo;
obsežne obdelave posebnih vrst podatkov ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški ali
obsežnega sistematičnega spremljanja javno dostopnega območja.

Opozoriti pa je treba, da pri tem ne gre za zaključen seznam obdelav, kajti velika tveganja lahko povzročijo tudi druge vrste obdelave10, ki niso izrecno naštete v zgornjih primerih.

V pomoč upravljalcem, naj bi informacijski pooblaščenec v prihodnjih mesecih objavil seznam obdelav, za katere bo potrebno izdelovati ocene učinka in tiste, za katere to ne bo potrebno.

2. Predhodno posvetovanje

Kadar je iz ocene učinka razvidno, da bi obdelava lahko povzročila veliko tveganje, če upravljavec ne bi sprejel ukrepov za obložitev tveganj, se mora delodajalec pred začetkom obdelave posvetovati z informacijskim pooblaščencem. Če je slednji mnenja, da predvidena obdelava krši pravila GDPR, lahko upravljalcu pisno svetuje oziroma uporabi katero izmed pooblastil, določenih v 58. členu GDPR. V skrajnem primeru lahko obdelavo celo prepove.

3. Izvesti ali ne izvesti?

V primeru dvoma, ali je v posameznem primeru potrebno izvesti DPIA ali ne, svetujemo, da se jo kljub temu izvede. Ocena učinka je primarno namreč v interesu upravljavcev, saj jim omogoča, da v zgodnji fazi identificirajo tveganja, sprejmejo ustrezne ukrepe in posledično preprečijo poznejše kršitve zakonodaje11.

Kršitev varstva osebnih podatkov

1. Kaj je kršitev varstva osebnih podatkov?

Kršitev varstva osebnih podatkov pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani. Poznamo tri glavne kategorije kršitev, to so: kršitev zaupnosti, kršitev dosegljivosti in kršitev integritete. V praksi je posamezni primer kršitve pogosto kombinacija vseh treh kategorij12.

2. Dokumentacija kršitev

V skladu z načelom odgovornosti je potrebno dokumentirati vse kršitve varstva osebnih podatkov. To velja tudi za kršitve, o katerih ni potrebno obvestiti nadzornega organa ali posameznikov, na katere se nanašajo osebni podatki.

3. Obvestilo nadzornemu organu

Kadar pride do kršitve varstva osebnih podatkov, mora upravljavec o njej uradno obvestiti nadzorni organ brez nepotrebnega odlašanja in po možnosti najpozneje v 72 urah po seznanitvi s kršitvijo, razen če lahko dokaže, da ni verjetno, da bi kršitev varstva osebnih podatkov ogrožala pravice in svoboščine posameznikov.

Pomembno je, da ločimo med varnostnim incidentom (npr. vlom v prostore družbe) in kršitvijo varstva osebnih podatkov (npr. kraja dokumentov, ki vsebujejo osebne podatke zaposlenih). Potem ko upravljavec zazna varnostni incident, lahko izvede kratko preiskavo, s katero ugotovi, ali je do kršitve varstva osebnih podatkov zares prišlo. Šteje se, da upravljavec v času preiskave še ni seznanjen s kršitvijo. Ko upravljavec z zadostno stopnjo verjetnosti ugotovi, da je do kršitve varstva osebnih podatkov res prišlo, se šteje, da je s kršitvijo seznanjen.

4. Obvestilo delavca

Kadar je verjetno, da bi kršitev varstva osebnih podatkov lahko povzročila veliko tveganje za pravice in svoboščine delavca, ga mora upravljavec oz. delodajalec brez nepotrebnega odlašanja o tej kršitvi obvestiti. Delovna skupina za varstvo podatkov iz člena 29 (v nadaljevanju »Delovna skupina«) opozarja, da se mora takšno obvestilo posamezniku posredovati ločeno od drugih informacij (npr. mesečno glasilo, standardna sporočila).

5. Interni postopek

Delodajalcem priporočamo, da za namen izvajanja zgoraj opisanih obveznosti vzpostavijo interni postopek za identifikacijo kršitev varstva osebnih podatkov in njihovo sanacijo. Prav tako pa naj podoben sistem vzpostavijo tudi s svojimi obdelovalci (npr. računovodskim servisom, ponudnikom IT-storitev) za primere kršitve varstva osebnih podatkov na strani obdelovalca.

Pooblaščena oseba za varstvo osebnih podatkov

1. Kdaj je potrebno imenovati pooblaščeno osebo za varstvo osebnih podatkov?

V skladu z GDPR bodo nekateri upravljavci morali imenovati pooblaščeno osebo (»DPO«) za varstvo osebnih podatkov. Imenovanje bo obvezno v primeru, da:

- obdelavo opravlja javni organ ali telo, razen sodišč, kadar delujejo kot sodni organ,

- temeljne dejavnosti delodajalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega oziroma namenov, posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati ali

- temeljne dejavnosti delodajalca zajemajo obsežno obdelavo posebnih vrst podatkov in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški.

Upravljalec lahko za DPO imenuje nekoga od zaposlenih ali angažira zunanjega izvajalca, ki je lahko tudi pravna oseba. V obeh primerih mora DPO biti neodvisna oseba, ki je usposobljena s strokovnim znanjem o zakonodaji in praksi na področju varstva osebnih podatkov. Priporočamo pa tudi, da imenovani DPO pozna naravo zadevnega sektorja ter ustroj organizacije.

Pri imenovanju pooblaščene osebe za varstvo osebnih podatkov je treba paziti tudi na morebiten konflikt interesov (ni priporočljivo, da se za DPO imenuje npr. vodja kadrovske službe ali vodja IT-oddelka)13.

2. Povezane družbe

V primeru povezanih družb GDPR dopušča imenovanje le ene pooblaščene osebe za varstvo podatkov, če je ta oseba lahko14 dostopna iz vsake enote in če komunicira v jezikih, ki jih uporabljajo pristojni nadzorni organi in posamezniki, na katere se nanašajo osebni podatki15.

3. Položaj pooblaščene osebe za varstvo podatkov

Delodajalec mora DPO zagotoviti vsa sredstva za opravljanje njenih nalog in ji omogočiti dostop do podatkov in dejanj obdelave. Poleg tega je delodajalec dolžan ohranjati njeno strokovno znanje (npr. s financiranjem strokovnih izobraževanj). DPO pri svojem delovanju ne sme prejemati nobenih navodil in ne sme biti razrešena ali kaznovana zaradi opravljanja svojih nalog. O svojem delovanju poroča neposredno najvišji upravni ravni družbe.

Trenutno razpoložljivi predlog Zakona o varstvu osebnih podatkov (ZVOP-2) predvideva še dodatna jamstva, ki so primerljiva s tistim, ki jih uživa sindikalni zaupnik. Če bo omenjeni predlog sprejet, bo pooblaščeni osebi v času imenovanja (in še eno leto po prenehanju) prepovedano podati odpoved delovnega razmerja, razen v primeru (i) redne odpovedi iz krivdnega ali razloga nesposobnosti, (ii) izredne odpovedi, (iii) odpovedi v postopku prenehanja delodajalca oziroma (iv) če v primeru odpovedi iz poslovnega razloga DPO odkloni ponujeno ustrezno zaposlitev. V primeru statusne spremembe delodajalca je predvideno, da bo DPO ohranila svoj položaj, če bo pri prevzemniku še naprej obstajala obveznost imenovanja pooblaščene osebe.

Ob vsem navedenem pa se je treba zavedati, da DPO ni osebno odgovorna v primeru neskladnega ravnanja z GDPR, pač pa je zanj odgovoren upravljavec, ki se odgovornosti za kršitve ne more rešiti s sklicevanjem na neustrezno delo.

4. Prostovoljno imenovanje DPO ali svetovalcev za varstvo osebnih podatkov

Čeprav upravljavec ni zavezan k imenovanju DPO, lahko to stori prostovoljno. Delovna skupina spodbuja prostovoljna prizadevanja, saj je imenovanje DPO lahko koristno tudi za samega upravljavca osebnih podatkov. Vendar pozor – če se upravljavec odloči za prostovoljno imenovanje DPO, mora pri tem upoštevati enake zahteve, kot če bi bilo imenovanje obvezno16.

Organizacija, ki ji po zakonu ni treba imenovati DPO in ki je tudi prostovoljno ne želi imenovati, lahko izvajanje nalog v zvezi z varstvom osebnih podatkov naloži nekomu od zaposlenih ali zunanjim svetovalcem, pri čemer je treba zagotoviti, da so njihovi naziv, status, položaj in naloge jasni. Pri vsaki komunikaciji se naj zato pojasni, da naziv tega posameznika ali svetovalca ni pooblaščena oseba za varstvo podatkov17.

Prenos osebnih podatkov v tretje države ali mednarodne organizacije

Prenos osebnih podatkov zaposlenih v države članice Evropske unije oziroma Evropskega gospodarskega prostora (Norveška, Islandija in Liechtenstein) je dovoljen v skladu z načelom prostega prenosa podatkov, medtem ko je prenos osebnih podatkov v tretjo državo ali mednarodno organizacijo dopusten le na podlagi sklepa o ustreznosti Komisije. Trenutno je tak sklep Komisije sprejet za Andoro, Argentino, Kanado, Ferske otoke, Guernsey, Izrael, otok Man, Jersey, Novo Zelandijo, Švico, Urugvaj in Združene države Amerike (v okviru Zasebnostnega ščita – »Privacy Shield«).

Kadar sklep Komisije ni sprejet, je prenos osebnih podatkov v tretjo državo ali mednarodno organizacijo dovoljen le, če so zagotovljeni ustrezni zaščitni ukrepi, in pod pogojem, da imajo delavci na voljo izvršljive pravice in učinkovita pravna sredstva. Med takšne zaščitne ukrepe GDPR uvršča na primer zavezujoča poslovna pravila (prenosi znotraj povezanih družb) in standardna določila o varstvu podatkov.

Kadar ni izpolnjen noben izmed zgoraj omenjenih pogojev, prenos osebnih podatkov v tretje države ali mednarodne organizacije načeloma ni dovoljen, z izjemo primerov, ki jih določa 49. člen GDPR.

Kako začeti?

Da se boste lažje spopadli z vsemi zahtevami in ukrepi, ki vam jih nalaga GDPR, smo vam pripravili kratek spisek nalog, ki vam lahko služi kot pomoč pri vzpostavitvi ustreznega procesa obdelovanja osebnih podatkov zaposlenih:

1. Preglejte, katere osebne podatke zaposlenih in kandidatov za zaposlitev obdelujete ter na kakšen način.

2. Preglejte in posodobite varnostne ukrepe in pri tem implementirajte načeli vgrajenega in privzetega varstva.

3. Preverite in posodobite pogodbe o obdelavi osebnih podatkov.

4. Preverite, ali ste dolžni imenovati DPO.

5. Preverite, ali morate izvajati oceno učinka v zvezi z varstvom osebnih podatkov.

6. Vzpostavite interne postopke za ugotavljanje, dokumentiranje in obveščanje o kršitvah.

7. Preverite vaše postopke za zagotavljanje pravic posameznikov in jih po potrebi posodobite.

8. Preverite, ali prenašate podatke v tretje države.

Literatura in viri

1Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) oziroma »Splošna uredba o varstvu osebnih podatkov« je stopila v veljavo dne 24.5.2016 in se začne uporabljati dne 25. 5. 2018.
2 Zakon o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo)
3 Glej 88. člen GDPR
4 Glej na primer Zakon o evidencah na področju dela in socialne varnosti in Zakon o varstvu in zdravju pri delu
5 Mnenje št. 15/2011 o opredelitvi privolitve, ki ga je sprejela Delovna skupina za varstvo podatkov iz člena 29.
6 https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-does-data-protection-design-and-default-mean_sl
7 Ocene učinkov na varstvo podatkov (smernice Informacijskega pooblaščenca)
8 Glej 35. člen GDPR
9 Revidirane smernice o oceni učinka na varstvo podatkov (WP 248 rev. 01, 4. 10. 2017)
10 Revidirane smernice o oceni učinka na varstvo podatkov (WP 248 rev. 01, 4. 10. 2017)
11 Ocene učinkov na varstvo podatkov (smernice Informacijskega pooblaščenca)
12 Mnenje št. 03/2014 o kršitvi varstva osebnih podatkov, ki ga je sprejela Delovna skupina za varstvo podatkov iz člena 29.
13 Revidirane Smernice o pooblaščenih osebah za varstvo podatkov (WP 243, 5. 4. 2017)
14 Lahko kot pridevnik (angl.: easily) in ne kot glagol
15 Revidirane Smernice o pooblaščenih osebah za varstvo podatkov (WP 243, 5. 4. 2017)
16 Revidirane Smernice o pooblaščenih osebah za varstvo podatkov (WP 243, 5. 4. 2017)
17 Revidirane Smernice o pooblaščenih osebah za varstvo podatkov (WP 243, 5. 4. 2017)